Cisco Cisco Identity Services Engine 1.3 작동 가이드

第

4 页

安全访问操作指南

使用的组件：

•

Cisco ISE 1.2.0.899

•

运行 IOS-XE 版本 03.02.02.SE 的思科 3850

•

Cisco LWAP 3602

•

作为 AD/DNS/DHCP 服务器的 Microsoft Windows 2008

有关

NGWC 无线功能的一些注意事项：

•

无线管理接口必须与 AP 接入 VLAN 一样，此布局中不支持 FlexConnect 模式下的 AP

•

客户端空闲超时是全局设置（与最新的 AireOS 相对）

•

AP 需要直接连接到 3850 交换机

•

无需使用 DHCP 选项 43 或 DNS 条目的传统 AP 发现方法。借助 CAPWAP 监听，所有直接连接的 AP

只要使用正确的

VLAN 配置，都可以联接 3850。由于采用 CAPWAP 监听，如果在 3850 上配置了无

线管理接口，所有直接连接的

AP 都只能与 3850 通信

•

支持 https 重定向，但是用户需要信任 3850 https 的证书，才能继续登录页面

•

借助 IOS-XE 版本 03.02.02.SE，3850 交换机可提供一些基于 GUI 的无线配置功能

注：思科

3850 能够以移动代理 (MA) 模式或移动控制器 (MC) 模式工作。每个移动部署都需要至少一个 MC，

而且由于我们的设计包括一个

3850 交换机，所以我们会将此交换机配置为 MC 模式。

3850 交换机无线配置步骤

思科

3850 是一个统一接入平台，可将有线和无线网络融合到一个物理基础设施中。此配置示例显示如何将用

于无线身份验证的思科

3850 交换机与 ISE 集成，为 BYOD 和安全状况评估等高级身份功能提供基础。本文

档中的示例将主要侧重于

3850 上用于无线配置的命令行界面。

注：借助版本

03.02.02.SE，思科为 3850 引入了通过 GUI 访问无线配置的能力。但是，配置的很多部分仍然

依赖于

CLI。本文档仅介绍 CLI 配置。

验证许可

3850 随附标配使用权 (RTU) 许可证方案。RTU 许可允许用户订购和激活特定类型和级别的许可证，以及在交
换机上管理许可证使用情况。要激活许可证，用户需要接受最终用户许可协议

(EULA)。对于评估许可证，在

90 天试用期到期之前，系统会通知用户购买永久许可证或停用该评估许可证。用户需要满足以下三个条件，
才能在

3850 上启用无线功能：运行 ipbase 或 ipservices 功能包、拥有 RTU 许可证，并且已接受 EULA。如果

此交换机用作移动控制器

(MC)，则 RTU 还会管理 AP 计数。

注：配置必备条件：本指南假定交换机具有所需的许可证；以下步骤将侧重于此平台上

RTU 许可证的验证。

步骤

验证 RTU 许可证已就绪。

步骤

运行以下

show 命令以查看处于可用和使用中状态的许可证：

3850#show license right-to-use summary